IMES DISCUSSION PAPER SERIES
INSTITUTE FOR MONETARY AND ECONOMIC STUDIES
BANK OF JAPAN
日本銀行金融研究所
〒103-8660 東京都中央区日本橋本石町 2-1-1 日本銀行金融研究所が刊行している論文等はホームページからダウンロードできます。http://www.imes.boj.or.jp
無断での転載・複製はご遠慮下さい。生体認証システムの脆弱性の分析と
生体検知技術の研究動向
鈴 すず 木き雅ま さ貴たか・宇う 根ね正ま さ志し備考: 日本銀行金融研究所ディスカッション・ペーパー・シ リーズは、金融研究所スタッフおよび外部研究者による 研究成果をとりまとめたもので、学界、研究機関等、関 連する方々から幅広くコメントを頂戴することを意図し ている。ただし、ディスカッション・ペーパーの内容や 意見は、執筆者個人に属し、日本銀行あるいは金融研究 所の公式見解を示すものではない。
IMES Discussion Paper Series 2009-J-6 2009 年 5 月
生体認証システムの脆弱性の分析と生体検知技術の研究動向
鈴 すず 木き雅ま さ貴たか*・宇う 根ね正ま さ志し** 要 旨 身体的特徴等を利用して個人の認証を行う生体認証システムは、近年、 金融分野をはじめとする幅広い分野において利用されつつある。生体認 証システムを活用していく際には、生体認証特有の脆弱性としてどのよ うなものが知られているかを把握し、適切な対策を講じていくことが重 要である。特に、生きている人間の身体部分でない物体を誤って受け入 れてしまうという脆弱性が一部の市販のシステムにおいて存在する可 能性が学会等において指摘されており、こうしたなりすましを目的とし た攻撃法への対応が必要といわれている。 本稿では、生体認証システムにおけるなりすましに焦点を当てて、最 近の国際標準化の動向や学会における研究成果等を踏まえつつ、生体認 証特有の脆弱性となりすましの方法との関係を改めて整理する。その結 果として、既存文献で指摘されている以外のなりすまし方法をいくつか 示し、それらへの網羅的な対策の講じ方について考察する。また、人工 物を用いた攻撃への対策の1 つである生体検知技術に焦点を当てて、研 究動向や本技術を導入・利用する際に留意すべき評価項目について研究 事例を基に考察し、生体検知の精度の比較を可能にするための検討が今 後重要であることを説明する。 キーワード:生体認証システム、ISO/IEC 19792、脆弱性、なりすまし、 生体検知技術、指紋 JEL classification: L86、L96、Z00 * 日本銀行金融研究所(E-mail:[email protected]) ** 日本銀行金融研究所企画役(E-mail:[email protected]) 本稿を作成するに当たっては、独立行政法人産業技術総合研究所情報セキュリティ研 究センターの大塚玲セキュリティ基盤技術研究チーム長と国立大学法人静岡大学創 造科学技術大学院の西垣正勝准教授から有益なコメントをいただいた。ここに記して 感謝したい。ただし、本稿に示されている意見は、筆者たち個人に属し、日本銀行の 公式見解を示すものではない。また、ありうべき誤りはすべて筆者たち個人に属する。目次 1.はじめに ... 1 2.生体認証システム特有の脆弱性となりすましの方法 ... 3 (1) 検討対象とする攻撃と攻撃者の設定 ... 3 (2) なりすましを目的とした攻撃と脆弱性の関係 ... 6 3.なりすましへの対策 ... 16 (1) 想定される対策の整理 ... 16 (2) なりすましへの対策の講じ方 ... 20 4.生体検知技術の研究動向 ... 23 (1) 生体検知技術の研究動向の概要 ... 23 (2) 生体検知の処理の概要 ... 24 (3) 調達者が留意すべき評価項目 ... 25 (4) 指紋と組み合わせる生体検知技術の研究事例 ... 29 5.考察 ... 32 (1) 研究動向のフォローの重要性 ... 32 (2) 検知精度の比較に向けた取組み ... 32 (3) 検知精度に影響を与える要素の解明と記述 ... 33 6.まとめ ... 34 【参考文献】... 35 付録.なりすましを目的とする攻撃の実行方法と対策... 38
1.はじめに 生体認証システムは、PC へのログインや建物への入館の際の本人確認手段と して広く利用されているほか、最近では、空港での入国審査における本人確認 等に利用されるようになってきている。金融分野おいても、従業員の本人確認 のほか、指や掌の静脈パターンを用いた生体認証をATM における顧客の本人確 認に利用する動きがみられる。生体認証システムを適切に選択し利用するため には、セキュリティ評価の実施が求められるほか、生体認証システムの脆弱性 や攻撃の洗出し、攻撃への対策の整理等が必要である。国際標準策定の場にお いても、生体認証システムのセキュリティ評価・認証に関する標準案(ISO/IEC 19792)の審議が進められている。 こうしたなか、実際に運用されている一部の生体認証システムに対して分離 された生体部位や人工物を提示するといった事例1が近年発生しており、従来理 論上のものとみられてきた生体認証システム特有の脆弱性を現実のものとして 認識することの重要性が改めて示されている。また、ウルフ攻撃(Une, Otsuka, and Imai[2008])等の新たな攻撃法も提案されてきている。生体認証システム は、他のセキュリティ・システムと同様に、時間の経過とともに新しい脆弱性 や攻撃法が提案され、そのセキュリティは徐々に低下していくという性格をも つ。上記の事例やウルフ攻撃の提案からも読み取れるように、今後中長期的に 生体認証システムを利用していくうえで、新たな脆弱性を考慮しつつ、漏れの ない対策を講じていくことが求められる。 本稿では、生体認証システムにおける攻撃のうちなりすましに焦点を当てて、 既存の検討成果に加えて、学会で提案されている新たな攻撃法や対策の調査を 行い、脆弱性となりすましの関係を整理する。具体的には、なりすましの行為 を 2 つの行為に分割し、各行為を実行する方法(実行方法と呼ぶ)の組合せに よって表現するという田村・宇根[2007]のアプローチを参照し、生体認証シ ステムの脆弱性を組み合わせて各実行方法を表現するという手法を採用する。 また、個々の実行方法への対策についても整理を行い、生体認証システムにお けるなりすましへの対策の講じ方について考察を行う。こうした検討結果を参 照することで、なりすましへの対策を講じる際に、想定されるなりすまし方法 に対して対策の漏れを減らすことができるようになると考えられる。 1 マレーシアでは、イモビライザーにおける本人確認に指紋を利用している自動車の運転手が、 窃盗団に襲われ指を分離されたという事件が発生している(Kent[2005])。また、わが国では、 指紋のような模様が付いたテープを貼り付けた指を提示することで、地方空港の入国審査を通過 したという事件が発生している(読売新聞[2009])。
また、なりすましへの対策のうち、近年評価の観点から研究が進展してきて いる生体検知技術に焦点を当てて、生体検知技術の導入・利用を検討するうえ で重要になると考えられる評価項目について考察する。具体的には、生体検知 の精度、利用者の利便性への影響、導入コストについて、留意すべき点を示す。 そのうえで、研究事例を取り挙げ、そうした評価項目がどの程度考慮されてい るかを議論する。 本稿の構成は以下のとおりである。2 節では、検討対象とする生体認証システ ム、攻撃、攻撃者を説明したうえで、生体認証システムの脆弱性となりすまし 方法の関係を整理する。3 節では、各なりすまし方法への対策の講じ方について 考察する。4 節では、生体検知技術の研究動向と生体検知の処理について概要を 紹介したうえで、本技術を導入・利用する立場からの留意点について考察する。 5 節では、2∼4 節の検討を踏まえて、金融機関や生体認証システムのベンダー へのインプリケーションを示す。
2.生体認証システム特有の脆弱性となりすましの方法 (1) 検討対象とする攻撃と攻撃者の設定 イ. 検討対象とする生体認証システム まず、本稿で検討対象とする生体認証システムを示す。これまでにさまざま な生体認証システムのモデルが示されているが(例えば、JBAA[2003]、BSC [2006]、ISO[2008])、利用者が自分の識別情報を生体認証システムに提示す る処理についても明示的に扱っている宇根・松本[2005]におけるモデルを単 純化して用いることとする(図表1参照)。 利用者 受理/拒否(1対1認証) 参照データ識別子/該当者なし(1対n認証) 登録時: 認証時: 生体特徴 ストレージ 参照データ識別子 参照データ 生成部 判定部 センサー ID読取部 認証結果 生体 サンプル 参照データ 参照データ識別子 参照データ識別子 参照データ 図表1.検討対象とする生体認証システム また、汎用的な生体認証技術の国際標準化を担当するISO/IEC JTC1/SC37 では、 生体認証技術に関する用語の統一化を行っている。その成果は、SC37 のスタン ディング・ドキュメント2(SD2 – Harmonized biometric vocabulary)のドラフト (ISO and IEC[2008])として公表されている2。本稿では、本ドラフトを参照 し、次の用語を用いることとする。 ・ 生体特徴(biometric characteristic):生体認証に用いられる人間の身体的特徴 または行動的特徴であり、指紋や静脈パターン等が挙げられる。 ・ 生体サンプル(biometric sample):生体特徴を生体認証システムのセンサーで 読み取ったデータであり、例えば、センサーで読み取った指紋画像等が挙げ られる。 ・ 参照データ(biometric reference):照合のために生体サンプルから生成され、 ストレージに登録されるデータである。参照データの形式は個々の生体認証 2 SD2 の最新版のドラフトは、ISO/IEC JTC1/SC37 のウェブサイトから入手可能である。
システムに依存しており、例えば、指紋画像をそのまま参照データとするケ ースや指紋画像から抽出した特徴点の座標を参照データとするケースが考 えられる。
・ 参照データ識別子(biometric reference identifier):利用者の参照データを識別 するための情報である。 ・ 照合スコア(comparison score):照合結果を示す数値であり、認証時に読み 取った生体サンプルと参照データがどの程度一致しているかを表す。 次に、利用者が不正や誤操作を行わない正常な利用を想定した場合の生体認 証システムにおける登録と認証の手順を順にみていく。 (イ) 登録時の手順 e-1. 利用者は、ID 読取部に自分の参照データ識別子を入力する。 e-2. 利用者は、自分の生体特徴をセンサーに提示する。センサーは、生体特徴を 読み取って生体サンプルを生成し、これを参照データ生成部に渡す。 e-3. 参照データ生成部は、生体サンプルから参照データを生成する。 e-4. 参照データと参照データ識別子のペアをストレージに登録する。ストレージ は、複数のペアが登録されるデータベースとして実現される場合や個々の利 用者のペアのみが登録されるIC カードとして実現される場合がある。 (ロ) 認証時の手順 v-1. 1 対 1 認証の場合には、ID 読取部は、利用者が入力した参照データ識別子を ストレージに渡す。1 対 n 認証の場合には、利用者は参照データ識別子を入 力しない。 v-2. 利用者は、自分の生体特徴をセンサーに提示する。センサーは、生体特徴を 読み取って生体サンプルを生成し、これを判定部に渡す。 v-3. 1 対 1 認証の場合には、判定部は、まず、生体サンプルから固有のパターン を抽出するなどの処理を行うとともに、参照データ識別子に対応する参照デ ータをストレージから読み出す。これらを照合し、照合スコアを求め、予め 設定されていた判定しきい値と比較して、一致か不一致かを判定する。一致 の場合には「受理」を、不一致の場合には「拒否」を出力する。 1 対 n 認証の場合には、判定部は、まず、生体サンプルから固有のパター ンを抽出するなどの処理を行ったうえで、ストレージに登録されている複数 の参照データと順次比較し、一致と判定する場合には当該参照データに対応 する参照データ識別子を出力する。一致と判定する参照データがない場合に は「該当者なし」を出力する。
ロ. 検討対象とする攻撃 生体認証システムに対する主な攻撃として、まず、なりすましが挙げられる。 なりすましは、登録時と認証時のそれぞれにおいて想定される。登録時におい ては、攻撃者自身の参照データ識別子を入力したうえで、他人の生体特徴や生 体特徴を合成したもの等に対応する参照データを登録する攻撃(攻撃①)と、 他人の参照データ識別子を入力したうえで、攻撃者自身の生体特徴に対応する 参照データを登録する攻撃(攻撃②)が考えられる。認証時においては、攻撃 者がなりすまし対象者の参照データ識別子を入力したうえで、何らかの情報を センサーに提示する、あるいは、生体認証システム内に電気的に挿入すること によって受理を出力させる攻撃(攻撃③)が考えられる。これらのうち、攻撃 ②については、登録時に他人になりすまして不正な登録を行うといった攻撃で あるが、これは登録時の本人確認の問題であり、生体認証システム自体の機能 の問題ではないことから、ここでは検討対象としない。 なりすまし可能な場合には、次のような攻撃が想定される。ただし、利用者A は攻撃の対象となる利用者、利用者B と利用者 C は結託している攻撃者とする。 ・ 特定の部屋における入退管理に生体認証システムが利用されている場合、 利用者B は、自分以外の無権限者(利用者 C)を自分の代わりに入室さ せるために、利用者B の参照データ識別子と利用者 C の生体特徴に対応 する参照データを登録する(攻撃①の例) ・ ATM における顧客の本人確認に利用者 A が生体認証システムを利用し ている場合に、利用者B が、利用者 A になりすまし、利用者 A の口座か ら預金を引き出す(攻撃③の例)。 ・ ATM における顧客の本人確認に生体認証システムを利用している場合、 利用者C が予め口座を開設しておき、利用者 C が預金を引き出すことが 物理的に困難なタイミングを見計らって、利用者B が利用者 C の口座か ら預金を引き出す。その後、利用者C が他人に預金を引き出されたこと を主張し、銀行に損害の補填を請求する(攻撃③の例)。 このほかにも、生体認証システムへの攻撃として、センサーの破壊や生体認 証システムへの供給電力の遮断等によりサービスを正常に提供できないように する攻撃(サービス妨害)が考えられる。また、不正入国者が生体認証システ ムに登録されているブラックリストと一致しないように変装するケースのよう に、ブラックリストによる検査を回避する攻撃(認証の回避)が考えられる。 サービス妨害については生体認証システムに限らず情報システム一般の課題 であるほか、認証の回避についてはATM における顧客の本人確認ではブラック リストによる検査を行っていないことから、本稿ではなりすましを検討対象と
する。 ハ. 検討対象とする攻撃者 なりすましを行う攻撃者の条件として、以下のものを想定する。 ・ 攻撃者は、なりすまし対象者の参照データ識別子を入手可能である。 なりすましを行うためには、なりすまし対象者の参照データ識別子 を特定する必要がある。本稿では、仮に参照データ識別子が特定さ れていたとしても、なりすましに対抗できるか否かを検討すること に重点を置くこととする。なお、参照データ識別子の入力作業につ いては記述しないこととする。 ・ 攻撃者は、センサーの読取方式を知っているものの、生体認証システム の内部構造や各処理に関する知識を事前に有していない。 現行の生体認証システムは、内部仕様を公開していないものが多い ため、攻撃者は、内部構造や各処理に関する知識を事前には有して いないとする。ただし、生体認証システムの脆弱性を利用すること で内部を解析可能な場合には、こうした知識を得ることができ、例 えば、攻撃者自身の生体特徴に対応する生体サンプルや参照データ を生成できるとする3。一方、生体認証システムの内部を解析しなく とも、センサーを観察することで、センサーの読取方式(光学式、 静電容量式等)を推測できるとする。 (2) なりすましを目的とした攻撃と脆弱性の関係 イ. 攻撃を構成する行為と脆弱性の関係 なりすましの方法の検討については、なりすましの行為を 2 つ(攻撃対象の 生体認証システムに何らかの入力を行う行為、そのための準備を行う行為)に 分割し、各行為の実行方法の組合せによってなりすまし方法を表現するという アプローチが提案されている(田村・宇根[2007])。本アプローチは、既知の 実行方法の組合せを整理し、より多くのなりすまし方法を洗い出すことができ る点で優れている。田村・宇根[2007]は、定義した 7 つの基本処理の組合せ
3 ウルフ攻撃の論文(Une, Otsuka, and Imai[2008])では、攻撃対象の生体認証システムの内部 仕様(照合アルゴリズム等)に関する知識を有する攻撃者を想定している。本稿では、ウルフ攻 撃が実行される際には、「データの漏洩・改ざん(後述)」の脆弱性を利用することでシステムの 内部仕様に関する知識を有する攻撃者を想定しており、本論文と同様の能力を持つ攻撃者となっ ている。
によって実行方法を設定しているが、本稿では、生体認証システムの脆弱性を 利用する実行方法を既知の文献を参照しながら設定する。 指紋を用いた認証における代表的ななりすまし方法としては、なりすまし対 象者の残留指紋から隆線の強調等の処理を行った情報を生成し、その情報を基 に人工物を作製してセンサーに提示するという方法がある。また、生体認証シ ステム内部の判定しきい値を改ざんしたうえで、攻撃者が自分の生体特徴を提 示するという方法である。これらの方法は、なりすましに必要な情報を集めて 攻撃対象の生体認証システムに入力する情報(入力情報と呼ぶ)4を生成し、入 力情報を入力しているといえる。上記の例においては、残留指紋を観測したデ ータに隆線の強調等の処理を行ったデータや改ざんする判定しきい値の値が入 力情報に相当する。そこで、本稿では、なりすましを構成する行為として、入 力情報を入手する行為(行為1)と入力情報を生体認証システムに入力する行為 (行為2)を想定することとする。 行為1 と行為 2 の実現方法は、攻撃に利用する脆弱性に依存する5。そのため、 既知の脆弱性を検討対象とするとともに、行為 1 と行為 2 における各実行方法 の組合せによってなりすまし方法を表現することで、既存の文献では明示され ていない方法についても検討対象にすることができると考えられる。なりすま しへの対策を検討する際に、こうした整理を参考にすることで、想定する攻撃 の見落としが減ることが期待される。 ロ. 生体認証システムに固有の脆弱性 生体認証システムの脆弱性は既にいくつかの文献において検討されている。 まず、JBAA 報告書は、生体認証システムへの攻撃として、なりすまし、認証の 回避、サービス妨害を想定したうえで生体認証システム特有の脆弱性を中心に 洗い出し、各攻撃を実施する際に利用する脆弱性を整理している。宇根ら(宇 根・松本[2005])は、JBAA 報告書で取り上げられた脆弱性を紹介するととも に、留意すべき脆弱性について考察したうえで、当該脆弱性への対策の研究動 向を紹介している。また、情報処理推進機構(IPA)による報告書(IPA 報告書 と呼ぶ、IPA[2006])は、国際標準 ISO/IEC 19792 のドラフトで規定された脆弱 性を紹介したうえで、各脆弱性が存在する生体認証システムの処理を分析して いるほか、いくつかの攻撃について関係する脆弱性と対策を紹介している。 ISO/IEC 19792 は、生体認証システムに固有の脆弱性に焦点を当てて、脆弱性の 洗出しとそれらを評価する際の要点等を規定する国際標準となる予定である。 4 こうした入力情報には生体部位を提示する順番等の情報も含まれるとする。 5 厳密には、1 つの脆弱性を利用した実行方法だけでなく、複数の脆弱性を利用することで可能 になる実行方法や脆弱性を利用せずに可能な実行方法も想定される。
ISO 19092(ISO[2008])は、金融業務において生体認証システムを利用する際 のセキュリティ確保のための枠組みを規定した国際標準であり、セキュリティ 上考慮すべき事項や攻撃とそれぞれへの対策を述べている。 生体認証システムに固有の脆弱性をすべて洗い出すことが理想的である。た だし、未知の脆弱性をカバーすることは困難であり、既知の脆弱性をなるべく カバーして分析するというアプローチが現実的と考えられる。本稿では、 ISO/IEC 19792 や他の文献で指摘されている脆弱性を参照しつつ各行為の実行方 法を検討する。ISO/IEC 19792 は、カバーしている生体認証システムに固有の脆 弱性が相対的に多く、記述の抽象度が高く議論していくうえで扱いやすいほか、 生体認証システムのセキュリティ評価に関する国際標準として今後参照される ことが想定されると考えられる。本国際標準のドラフトにおいて規定されてい る脆弱性は次のとおりである。 ・ 「認証精度の限界(performance limitation)」は、生体認証システムの認証結 果には常に一定の誤りが含まれるという脆弱性である。他人の生体特徴がセ ンサーに提示された場合であっても受理される可能性がある。
・ 「人工物等の受入れ(artefact of biometric characteristics)」は、ゼラチンで生 成した指や顔の写真等の人工物によって生体特徴を偽造したもの(擬似生体 特徴と呼ぶ)や、分離された生体部位(指等)の生体特徴をセンサーに提示 した場合でも、受理される可能性があるという脆弱性である。
・ 「生体特徴の意図的な変更(modification of biometric characteristics)」は、整 形手術、化粧、声色や筆跡の変更等、自分の身体的・行動的特徴を意図的に 変更でき、それがなりすましにつながる可能性があるという脆弱性である。 ・ 「生体特徴の秘匿困難性(difficulty of concealing biometric characteristics)」は、
グラスやセンサー上の指紋の痕跡の記録、顔の撮影、音声の録音等のように、 日常生活の中で秘匿が困難な生体特徴が存在するという脆弱性である。 ・ 「血縁関係による類似(similarity due to blood relationship)」は、双子の顔や
声が似ているといった事例のように、血縁者の生体特徴が類似している可能 性があるという脆弱性である。
・ 「特殊な生体特徴の存在(special biometric characteristic)」は、他人の生体特 徴と高い確率で誤一致と判定される参照データ(子羊と呼ばれる)や、複数 の参照データと誤一致と判定されるような生体特徴(ウルフと呼ばれる)が 存在する可能性があるという脆弱性である。この脆弱性には、血縁関係によ り生体特徴が類似するケースは含まれない。
・ 「合成された擬似生体サンプルの受入れ(synthesised wolf biometric samples)」 は、参照データ生成部や判定部に入力される生体サンプルでないデータ(擬 似生体サンプルと呼ぶ)が受理される可能性があるという脆弱性である。擬
似生体サンプルの例としては、2 つの生体サンプルの平均をとったデータ、 幾何学模様からなるデータ、特徴点が無数に存在する偽の指紋画像が挙げら れる。 ・ 「環境変化による認証精度への影響(hostile environment)」は、センサー周 辺の環境(気温、湿度、光量等)の変化が認証精度に影響を与える可能性が あるという脆弱性である。環境の変化により、なりすましに成功する確率が 高くなる可能性がある。
・ 「不適切な情報の登録(procedural vulnerabilities around the enrolment process)」 は、不適切な情報(品質の低い生体サンプル6、擬似生体サンプル)の登録に より、なりすましが発生する可能性があるという脆弱性である7。こうしたな りすましは、特殊な生体特徴の存在や人工物等の受入れといった他の脆弱性 がベースとなっていることから、本稿では検討対象としないこととする。 ・ 「データの漏洩・改ざん(leakage and alteration of biometric data)」は、生体認
証システム内のデータ(生体サンプル、参照データ、判定しきい値、照合ス コア、認証結果等)が漏洩する、または、改ざんされる可能性があるという 脆弱性である。この脆弱性は情報システムに共通であるものの、漏洩・改ざ んの対象となるデータは生体認証システムに固有であることから、本国際標 準案で取り上げられている。また、本国際標準案では、評価対象とする生体 認証システムだけでなく、他の生体認証システムからのデータ漏洩もこの脆 弱性に含めているが、本稿では、他の生体認証システムからのデータ漏洩を この脆弱性に含めないこととする。なお、生体認証システム内のデータに、 生体認証システムの内部構造や各処理(照合アルゴリズム等)に関する知識 を含めることとする。 ハ. 各行為の実行方法 攻撃者が上記の脆弱性を利用することで、行為 1 と行為 2 をどのように実行 するかを検討する。本稿では、脆弱性を利用しなくとも実行できる方法につい ても検討に加えることとする。 6 国際標準 ISO/IEC 29794-1 は、生体サンプルの品質に関する用語や規準の考え方等を規定して おり、本標準のドラフトでは、生体サンプルの品質を「想定するアプリケーションにおける要件 を充足する度合い」と定義している。例えば、生体特徴の状態(怪我した指の指紋等)、センサ ーで撮影した画像の大きさや解像度、特徴の数等が品質に関係する可能性があるとしている。 7 ISO/IEC FCD 19792 では、「不適切な情報の登録」の脆弱性を利用した攻撃として、本節(1)ロ. の攻撃②も挙げている。
(イ) 入力情報の入手の実行方法 入力情報を入手するうえで、なりすまし対象者本人の生体特徴から派生した 情報(本人の残留指紋等)を基に入力情報を入手する方法が考えられるほか、 派生していない情報を基に入力情報を入手する方法が考えられる。派生してい ない情報を基に入力情報を入手する方法については、なりすましのために集め た情報からなりすましの対象者を決定することも想定される。 ① 本人の生体特徴から派生した情報を基にした場合 【利用する脆弱性:データの漏洩】 データの漏洩を利用することで、攻撃対象の生体認証システムから入手した なりすまし対象者の生体サンプルや参照データを基に入力情報を入手するとい う方法(方法1-1、JBAA[2003])が考えられる。 【利用する脆弱性:生体特徴の秘匿困難性】 生体特徴の秘匿困難性を利用することで、なりすまし対象者の生体特徴の痕 跡(残留指紋等)から入力情報を入手する方法(JBAA[2003])が考えられる。 具体的には、生体認証システムのセンサーにおける生体特徴の痕跡から入手す るという方法(方法1-2、JBAA[2003])と日常生活における生体特徴の痕跡か ら入手するという方法(方法1-3、JBAA[2003])が考えられる。このほか、な りすまし対象者の生体部位の分離を行わずに、日常生活において露出している 生体特徴から入力情報を入手するという方法(方法1-4、JBAA[2003])が考え られる。方法1-4 においては、攻撃者は入力情報の入手にあたり、音声の録音、 手書き動作の記録、可視光による顔の撮影、赤外光による静脈パターンの撮影 等を行うと考えられる。また、身体的特徴については、本人の意識がない時(泥 酔時等)に盗取される可能性もある(遠藤・平林・松本[2003])。 【利用する脆弱性:認証精度の限界、データの漏洩、 合成された擬似生体サンプル】 照合スコアは、本人の参照データとの類似度(あるいは、距離)を示す値で あり、本人の生体特徴から派生した情報とみなすことができる。データの漏洩 により照合時の照合スコアを入手できる場合には、擬似生体サンプル探索用の 生体認証システムに初期値として(擬似)生体サンプルを適当に与え、照合ス コアが改善されるように初期値に修正を加えることで擬似生体サンプルを探索 し、これを基に入力情報を入手するという方法(方法1-5、Hill[2001])が考え られる。こうした探索方法はヒル・クライミング攻撃と呼ばれる。なお、本稿 では、照合スコアを出力しない生体認証システムを想定しているが、認証結果 の一部として照合スコアを出力している生体認証システムの場合には、データ
の漏洩を利用することなく本方法を実行することができる可能性がある。 このほか、上記の脆弱性を利用せずに入力情報を入手する方法がいくつか考 えられる。別の生体認証システムや生体特徴を用いた他のアプリケーション(拇 印、直筆のメモ等)から入手した情報を基に入力情報を入手するという方法(方 法 1-6)、なりすまし対象者の生体部位(指等)を分離し、それを基に入力情報 を入手するという方法(方法 1-7、JBAA[2003])、偽端末を設置してなりすま し対象者に生体特徴を提示させ盗取した情報を基に入力情報を入手するという 方法(方法1-8、FISC[2006])、なりすまし対象者を脅して得た情報を基に入力 情報を入手するという方法(方法 1-9、JBAA[2003])、なりすまし対象者と結 託し、同意のもとで得た情報を基に入力情報を入手するという方法(方法1-10、 JBAA[2003])が考えられる。なお、なりすまし対象者を脅す(方法 1-9)、あ るいは、結託する(方法1-10)際には、なりすまし対象者の生体部位の分離(方 法1-7)を行わないとする。 ② 本人の生体特徴から派生していない情報を基にした場合 【利用する脆弱性:データの漏洩】 データの漏洩を利用して、システム内部において認証結果を生成する処理が 行われる部分とそのためのデータを特定したうえで、任意のセンサーへの入力 に対して「受理」を出力する処理部分とデータを決定する。こうしたデータを 入力情報として入手するという方法(方法1-11、JBAA[2003])が考えられる。 【利用する脆弱性:認証精度の限界】 「認証精度の限界」の脆弱性を利用して、なりすまし対象者以外の利用者を ランダムに選択し、当該利用者の生体特徴を基に入力情報を入手するという方 法(方法1-12、JBAA[2003])が考えられる。 【利用する脆弱性:認証精度の限界、血縁関係による類似】 なりすまし対象者の血縁者の生体特徴から派生したデータを基に入力情報を 入手するという方法(方法 1-13、JBAA[2003])が考えられる。ただし、血縁 者の生体特徴の痕跡、生体サンプル、参照データ等を入手するために、血縁者 について上記の方法 1-1∼1-10 を併用する。これらの方法を実行するためには、 それぞれ対応する脆弱性を利用可能であることが条件となる。 【利用する脆弱性:認証精度の限界、合成された擬似生体サンプルの受入れ】 合成された擬似生体サンプルの受入れを利用する場合には、生体特徴を模し た擬似生体特徴や幾何学模様等を基に入力情報を入手するという方法(方法 1-14)が考えられる。
【利用する脆弱性:認証精度の限界、合成された擬似生体サンプルの受入れ、 特殊な生体特徴の存在】 特殊な生体特徴の存在を利用しつつ、生体サンプルの品質が低い場合には期 待した認証精度が得られない可能性があることが指摘されている。そのため、 品質の低い(擬似)生体サンプルを基に入力情報を入手するという方法(方法 1-15)が考えられる。データの漏洩により照合アルゴリズムの解析を行ったうえ で、品質の低い生体サンプルを求める方法は含めない。 【利用する脆弱性:認証精度の限界、データの漏洩】 データの漏洩を利用して複数の参照データを入手できる場合には、攻撃者自 身の生体特徴と類似している参照データを探索したうえで、対応する参照デー タ識別子を特定し、攻撃者自身の生体特徴を入力情報とするという方法(方法 1-16、ISO[2008])が考えられる。このほか、複数の参照データの比較により 類似したペアを探索し、一方をなりすまし対象者にしたうえで、他方の参照デ ータに対応する利用者を特定し、当該利用者の生体特徴を基に入力情報を入手 するという方法(方法1-17、ISO[2008])が考えられる。 【利用する脆弱性:認証精度の限界、データの漏洩、特殊な生体特徴の存在】 データの漏洩により複数の参照データを入手したうえでそれらを比較し、最 も多くの参照データと誤一致する参照データを探索し、これを基に入力情報を 入手するという方法(方法1-18、門田・黄・吉本[2005])が考えられる。この ように複数の参照データと誤一致する参照データの基となる入力情報はウルフ に相当し、誤一致する参照データの数が多いほど強いウルフとなる。また、こ うした入力情報を与えてなりすましを試みる攻撃はウルフ攻撃と呼ばれている。 【利用する脆弱性:認証精度の限界、データの漏洩、特殊な生体特徴の存在、 合成された擬似生体サンプル】 データの漏洩により照合アルゴリズムに関する情報を入手したうえで解析を 行い、任意の参照データを想定した場合になりすましの成功確率が高くなるよ うな(擬似)生体サンプルを探索し、これを基に入力情報を入手するという方 法(方法1-19、Une, Otsuka, and Imai[2008])が考えられる。こうした(擬似) 生体サンプルもウルフとなる可能性があり、本方法もウルフ攻撃の 1 つといえ る。
(ロ) 入力情報を生体認証システムに入力する方法 【利用する脆弱性:人工物の受入れ】
基に人工物を作製しこれをセンサーに提示するという方法(方法 2-1、JBAA [2003])と、分離した生体部位(指の分離等)をセンサーに提示するという方 法(方法2-2、JBAA[2003])が考えられる。なお、方法 2-2 では、なりすまし 対象者から分離した生体部位のほか、入力情報とする(擬似)生体特徴等に類 似する生体特徴を持つ利用者から分離した生体部位を用いることが考えられる。 【利用する脆弱性:生体特徴の意図的な変更】 生体特徴の意図的な変更を利用する場合には、入力情報を基に攻撃者が自分 の生体特徴を意図的に変更してセンサーに提示するという方法(方法2-3、JBAA [2003])が考えられる。例えば、撮影した顔写真を参考に化粧や整形手術等を 行うことで攻撃者の身体的特徴を変更することや、記録した音声を参考に攻撃 者の声色を変えることが挙げられる。 【利用する脆弱性:データの漏洩・改ざん】 生体認証システムにおいてデータの挿入・改ざんを行うとともに、必要に応 じて攻撃者が自分の生体特徴をセンサーに提示するという方法(方法2-4、JBAA [2003])が考えられる。例えば、盗取しておいた生体サンプルをそのまま電気 的に挿入すること(リプレイ攻撃と呼ばれる)や、センサーへの任意の入力に 対して「受理」が出力されるように判定しきい値や認証結果を改ざんしたうえ で攻撃者自身の生体特徴を提示することが挙げられる。 【利用する脆弱性:認証精度の限界】 本人以外の利用者8を脅して当該利用者の生体特徴をセンサーに提示させると いう方法(方法2-5、JBAA[2003])と、入力情報が攻撃者や結託者の生体特徴 と同一あるいは類似している場合には、攻撃者や結託者の生体特徴をセンサー に提示するという方法(方法2-6、JBAA[2003])が考えられる。なお、方法 2-5 では、入力情報とする(擬似)生体特徴等に類似する生体特徴を持つ利用者を 脅すことが考えられる。 【利用する脆弱性:環境変化による認証精度への影響】 上記の方法2-1∼2-6 を実行する際、センサー周辺の環境を変化させることで、 なりすましの成功確率が高くなる可能性がある。センサー周辺の環境を変化さ せたうえで、方法2-1∼2-6 を実行するという方法(方法 2-7、JBAA[2003])が 考えられる。 8 本人を脅して生体特徴をセンサーに提示させる攻撃(JBAA[2003])は、なりすましではない ため本稿では検討対象としない。
ニ. 行為 1 と行為 2 に基づくなりすまし方法の洗出し 行為 1 と行為 2 の各実行方法を組み合わせることでなりすまし方法を表現す ることができる。行為 1 の実現方法と行為 2 の実現方法の間には従属関係があ り、想定困難な組合せも存在すると考えられることから、上記の各実行方法に ついて想定される組合せを検討する(図表2参照)。行為 2 の実行方法(方法 2-1 ∼2-7)を軸に組合せをみていく。 行為2 2-1 人工物 2-2 分離 2-3 変更・模倣 2-4 挿入・改ざん 2-5 脅し 2-6 提示 2-7 環境 1-1 当該システムか ら漏洩 JBAA 1-2 センサー上の痕 跡 JBAA JBAA 1-3 日 常 生 活 に おける痕跡 JBAA JBAA 1-4 露出 JBAA 1-5 ヒル・クライミング 攻撃 JBAA 1-6 他システムから 漏洩 1-7 分離 JBAA 1-8 偽端末 1-9 脅し JBAA 本 人 の 生 体 特 徴 か ら 派 生 し た 情 報 か ら の 入 力 情 報 の 入 手 1-10 結託 JBAA 1-11 認証パラメータ の漏洩 JBAA 1-12 本人以外の 生体特徴 JBAA JBAA 1-13 血縁者 JBAA 1-14 擬似生体特 徴 JBAA 1-15 低品質 JBAA JBAA 1-16 攻撃者の生 体特徴と類似 JBAA 1-17 類似ペア 1-18 参照データ からウルフを探索 JBAA 行 為 1 本 人 の 生 体 特 徴 か ら 派 生 し て い な い 情 報 か ら の 入 力 情 報 の 入 手 1-19 照合アルゴリ ズムからウルフを探索 (備考)背景が灰色のセルは想定困難な組合せであることを、「JBAA」は JBAA 報告書で記述さ れているなりすまし方法であることをそれぞれ示す。 図表2.行為 1 と行為 2 の組合せによるなりすまし方法の洗出し ・ 方法2-1(人工物の提示)、方法 2-2(分離した生体部位の提示)、方法 2-3(意 図的に変更した生体特徴の提示)、方法 2-5(脅しによる生体特徴の提示)、 方法2-6(攻撃者等の生体特徴の提示)は、(擬似)生体特徴や(擬似)生体 サンプル等を基に入力情報を入手するという方法との組合せが想定される。 方法 1-11 はこうした方法に該当しないためこれらの方法との組合せは想定 困難である。
・ 方法2-4(データの挿入・改ざん)については、(擬似)生体サンプル、参照 データ、改ざんしたい判定しきい値や認証結果等を入力情報とする方法との 組合せが想定される。 ・ 方法2-7(センサー周辺の環境の変更)については、方法 2-1∼2-6 が実行可 能な場合には、併せてセンサー周辺の環境を変化させることが考えられる。 そのため、方法2-1∼2-6 との組合せが想定される場合には、方法 2-7 との組 合せも想定される。 まず、本稿で洗い出したなりすまし方法がどの程度のバリエーションをカバ ーできているのかを既存の文献と比較しながら考察する。ここでは、多くのな りすまし方法を洗い出している既存文献として JBAA 報告書を取り上げる。本 報告書で示されているなりすまし方法と比較すると、方法1-6、1-8、1-17、1-19 を用いた方法について今回追加的に整理したといえる。また、行為 1 の各実現 方法と行為2 の各実現方法の組合せによって、JBAA 報告書では想定されていな いものの想定されうるなりすまし方法(図表 2において「JBAA」と書かれてい ない白色のセル)が存在することを示した。 今後、新しいモダリティの登場や攻撃の高度化等により、新たななりすまし 方法が出現することが予測される。その場合には、当該なりすまし方法を構成 する行為を分析し、図表2に行為 1 あるいは行為 2 を実行する新たな方法として 追加することで、検討対象を拡張することができる。また、実行方法を行う際 に盗取・改ざんするデータの種類(生体サンプル、参照データ、判定しきい値 等)や攻撃法に着目して、図表2に示した各実行方法を明確にしていくことも考 えられる。このように具体的なデータや攻撃法に基づいて実行方法を明確化・ 細分化して表を再構成することで、より具体的ななりすまし方法を検討すると いう使い方も可能である。
3.なりすましへの対策 (1) 想定される対策の整理 前節のなりすまし方法(方法 1-1∼1-19、2-1∼2-7)への対策として考えられ るものを、既存の文献を参照しながら整理する。 イ. 入力情報の入手への対策 (イ) 本人の生体特徴から派生した情報を基にした入力情報の入手への対策 ・ 方法 1-1(攻撃対象の生体認証システムからの漏洩)に対しては、データ漏 洩の防止や検知のために、生体認証システム内のデータの暗号化・システム の耐タンパー化・ログ収集等を行うこと(宇根・松本[2005])、漏洩した参 照データをなりすましに利用できないようにする技術(テンプレート保護技 術と呼ばれる)を利用すること(IPA[2006])が考えられる。なお、テンプ レート保護技術の利用にあたっては、参照データ等の漏洩を検知する必要が あるケースもある。このほか、チャレンジ・レスポンス認証を行うこと (Schuckers[2002])も考えられる。チャレンジ・レスポンス認証の例とし ては、予め5 本の指を登録しておき、認証時に提示する指を生体認証システ ムがランダムに指定する方法が挙げられる。この方法を採用した場合、攻撃 者は5 本の指について人工指(指を模擬した人工物)や分離した指を用意す る必要があるため、1 本の場合と比べて攻撃のコストが増加することが期待 できる。 ・ 方法 1-2(センサー上の痕跡)に対しては、センサー上の痕跡を拭き取るこ と(宇根・松本[2005])や提示された生体特徴を非接触型のセンサーで読 み取ること(BSC[2006])が考えられる。 ・ 方法 1-3(日常生活における痕跡)に対しては、日常生活において痕跡が残 りにくいモダリティ(静脈パターン等)を利用すること(宇根・松本[2005]) が考えられる。 ・ 方法 1-4(露出した生体特徴の観測)に対しては、生体特徴をセンサーに提 示する方法を攻撃者に知られないように別途決めておくこと(大野 ら [2008])が考えられる。例えば、生体認証システムに 5 本の指を登録する 際、指を提示する順番も登録しておく。仮に、攻撃者に生体特徴から派生す る情報が入手されたとしても、提示する順番を秘密にしておくことができれ ば、攻撃を防ぐことができる可能性がある。このほか、チャレンジ・レスポ ンス認証を行うこと(Schuckers[2002])も考えられる。例えば、認証時に
生体認証システムから質問を行い、利用者の音声によって回答させるという 対策が考えられる。これにより、記録した音声をそのまま利用する攻撃を防 ぐことができると期待される。 ・ 方法 1-5(ヒル・クライミング攻撃)に対しては、判定しきい値をより厳し く設定するなどの方法によって認証精度を向上させ、攻撃に必要な計算量を 増大させること(宇根・松本[2005])のほかに、ヒル・クライミング攻撃 に耐性のある照合アルゴリズムを利用することが考えられる(小松[2005]、 村松[2008])。例えば、小松[2005]は、認証時の照合スコアを手掛かりに 擬似生体サンプルの修正を行った場合、不自然な擬似生体サンプルとなるよ うな照合アルゴリズムを提案している。村松[2008]は、ヒル・クライミン グ攻撃により生成された擬似生体サンプルに耐性のある照合アルゴリズム を提案している。このほか、一定回数連続して認証に失敗した場合には新た な認証処理を開始しないといった対策(宇根・松本[2005])が考えられる。 本稿で想定する生体認証システムでは照合スコアを出力しないが、仮に照合 スコアを出力している生体認証システムでは、照合スコアを出力しない(宇 根・松本[2005])、照合と照合の間に十分な時間を設け、連続して照合スコ アを入手できないようにするといった対策が考えられる。 ・ 方法 1-6(他のシステムからの漏洩)に対しては、他の生体認証システムや 他のアプリケーションで利用されていないモダリティを利用することが考 えられる。また、テンプレート保護技術も対策の1 つとなりうるが、本対策 が有効に機能するためには他のシステムにおいても同様の対策が適切に講 じられている必要がある。 ・ 方法 1-7(生体部位の分離)に対しては、分離された生体部位からは生体特 徴に関する情報を得ることができないようなモダリティ(行動的特徴等)を 利用することが考えられる。 ・ 方法1-8(偽端末による盗取)に対しては、IC カード等を利用して利用者が 端末を認証すること(田村・宇根[2006])、「いつもとは異なる場所に設置 されている端末には生体特徴を提示しないよう心掛ける」等のように利用者 を啓蒙すること(FISC[2006])、偽端末が設置されているか否かを監視によ って確認すること(FISC[2006])が考えられる。 ・ 方法 1-9(なりすまし対象者への脅し)に対しては、非常時通報を利用する という対策が考えられる(古江ら[2006]、國井ら[2007])。例えば、2 本の 指を生体認証システムに登録しておき、通常の認証では一方の指を提示し、 脅されている場合には他方の指を提示する方法が挙げられる。 ・ 方法1-10(なりすまし対象者と結託)に対しては、デジタル・フォレンジッ ク技術等により結託していることを事後的に検知する対策が考えられる。
(ロ) 本人の生体特徴から派生していない情報を基にした入力情報の入手への 対策 ・ 方法1-11(判定しきい値や認証結果の入手・解析)に対しては、データ漏洩 の防止や検知のために、生体認証システム内のデータの暗号化・システムの 耐タンパー化・ログ収集等を行うこと(宇根・松本[2005])が考えられる。 ・ 方法 1-12(なりすまし対象者以外の生体特徴の利用)に対しては、「認証精 度の限界」の脆弱性による影響を軽減するために、判定しきい値の調節や照 合アルゴリズムの改良等により認証精度を向上させること(宇根・松本 [2005])が考えられる。 ・ 方法1-13(なりすまし対象者の血縁者の利用)に対しては、認証精度を向上 させること(宇根・松本[2005])のほかに、血縁関係による認証精度への 影響がないことを確認したモダリティ9を利用することが考えられる。 ・ 方法1-14(擬似生体特徴の利用)に対しては、認証精度を向上させること(宇 根・松本[2005])のほかに、生体認証システムが読み取ったデータを解析 し、人間が取り得る値となっているか否かを検査することが考えられる。 ・ 方法1-15(品質の低い生体サンプルの利用)に対しては、認証精度を向上さ せること(宇根・松本[2005])のほかに、生体認証システムが読み取った 生体サンプルの品質を検査すること(宇根・松本[2005])が考えられる。 ・ 方法1-16(攻撃者の生体特徴と類似する参照データの探索)と方法 1-17(類 似する参照データのペアの探索)に対しては、認証精度を向上させること(宇 根・松本[2005])のほかに、データ漏洩の防止や検知のために、生体認証 システム内のデータの暗号化・システムの耐タンパー化・ログ収集等を行う こと(宇根・松本[2005])が考えられる。 ・ 方法1-18(参照データを用いたウルフ攻撃)に対しては、認証精度を向上さ せること(宇根・松本[2005])、データ漏洩の防止や検知のために、生体認 証システム内のデータの暗号化・システムの耐タンパー化・ログ収集等を行 うこと(宇根・松本[2005])、ウルフ攻撃への耐性が確認された照合アルゴ リズムを利用すること(門田・黄・吉本[2005]、Une, Otsuka, and Imai[2008]、 Inuma, Otsuka, and Imai[2009])が考えられる。
・ 方法1-19(照合アルゴリズムを用いたウルフ攻撃)に対しては、認証精度を 向上させること(宇根・松本[2005])、ウルフ攻撃に耐性のある照合アルゴ リズムを利用すること(Une, Otsuka, and Imai[2008]、Inuma, Otsuka, and Imai [2009])が考えられる。また、合成した擬似生体サンプルがウルフになる
9 BSC[2006]では、一卵性双生児同士の虹彩、あるいは、同一人物の左右の虹彩であっても異 なると記述されている。
場合には、擬似生体サンプルを解析し人間が取り得る値となっているか否か を検査することが考えられる。このほか、照合アルゴリズムに関する知識を 攻撃者に与えないために、生体認証システム内のデータの暗号化・システム の耐タンパー化・ログ収集等を行うこと(宇根・松本[2005])が考えられ る。 ロ. 入力情報を生体認証システムに入力する方法への対策 ・ 方法2-1(人工物の提示)と方法 2-2(分離した生体部位の提示)に対しては、 提示された被認証物が人工物や分離された生体部位か否かを識別する技術 (生体検知技術と呼ばれる)を利用する(宇根・松本[2005])、人工物や分 離した生体部位を提示しているか否かを監視(IPA[2006])するといった対 策が考えられる。このほか、遠藤・松本[2002]では、静電容量式のセンサ ーにシリコーン製人工指を提示した場合には登録・照合ができなかったとの 実験結果を示していることから、生体特徴の偽造が困難な読取方法を利用す るといった対策が考えられる。 ・ 方法 2-3(意図的に変更した生体特徴の提示)に対しては、どのような生体 特徴を模倣すればよいのか既知であったとしても模倣が困難なモダリティ を利用する対策が考えられる。例えば、青山・西垣[2007]では、対象物の 動きを両目で捉える際の眼球の動きが反射によって生じていること(こうし た反射は輻輳反射と呼ばれる)に注目し、輻輳反射を用いた認証方法を提案 している。 ・ 方法 2-4(データの挿入・改ざん)に対しては、生体認証システム内のデー タの暗号化やシステムの耐タンパー化により改ざんや挿入を防止・検知する (宇根・松本[2005])、システムに配線をつなぐ行為等を監視するといった 対策が考えられる。 ・ 方法2-5(脅しによる生体特徴の提示)と方法 2-6(攻撃者等の生体特徴の提 示)は、なりすまし対象者以外の利用者の生体特徴をセンサーに提示するこ とでなりすましを試みることから、認証精度を向上させること(宇根・松本 [2005])が考えられる。また、方法 2-5 については、攻撃者がその場にいる 場合には脅されているか否かを監視する(宇根・松本[2005])という対策 も考えられる。 ・ 方法 2-7(センサー周辺の環境の変更)に対しては、環境状態の異常を検知 する機構を準備し、検知した場合には生体認証システムを停止する(IPA [2006])、屋外に設置するセンサーであれば光学式以外のものを利用するな どのように環境の変化を受けにくい読取方法を利用する、補助光を利用する ことでセンサー周辺の光量を一定に保つなどのように外部環境の影響を軽
減する工夫を行う、故意にセンサー周辺の環境を変更しようとする行為を監 視する(IPA[2006])といった対策が考えられる。 以上の対策のほかに、複数のモダリティを用いた認証を行うマルチ・モーダ ル認証(BSC[2006])は、攻撃者が用意しなければならない入力情報、生体認 証システムに提示する人工物や電気的に挿入するデータの数を増加させるため、 行為1 および行為 2 の各実行方法への対策になりうると考えられる。 本節(2)と(3)で示した行為1 と行為 2 の実行方法と対策を付録にまとめる。な お、生体認証システムの内部構成や処理内容を修正する必要がある対策を技術 的対策と呼ぶこととする。 (2) なりすましへの対策の講じ方 イ. 基本的なアイデア まず、なりすましが生じた際の被害や図表2に挙げた各なりすまし方法の顕現 化の可能性を分析したうえで、対策を講じるべきなりすまし方法を明らかにす る10。次に、対象とする各なりすまし方法に対して実施可能な対策を選択する。 2 節(3)に挙げた対策のなかには、技術の成熟度や運用上の制約から十分な効果 が期待できないものや実施困難なものが存在する可能性がある。そうした場合 であっても、なりすまし方法に対応する入力情報の入手(行為1)と入力情報の 入力(行為2)のそれぞれの実行方法のうち、一方を実行困難にするように対策 を講じることでなりすましを防ぐことができると考えられる。 ロ. 選択する対策の例 例として、生体認証システムの用途として ATM における顧客の本人確認を、 対策を講じるべきなりすまし方法として図表 2に示したすべての組合せをそれ ぞれ想定した場合に、本稿の検討結果を採用するとどのように対策を選択する ことができるかを示す。 まず、金融情報システムセンター(FISC)の安全対策基準(安対基準と呼ぶ、 FISC[2006])をみると、システム内のデータの暗号化、システムの耐タンパー 化、ATM 周辺の監視等が対策として挙げられている。このことから、各金融機 関では既にこれらの対策が実施されている可能性が高いと考えられる。 10 こうした分析を行う際には、例えば、定量的なリスク分析・評価手法である FTA(Fault Tree Analysis)を利用することが考えられる(清水・瀬戸[2008])。
・ システム内のデータの暗号化、システムの耐タンパー化 ¾ これらは、データの漏洩や改ざんの脆弱性を利用する方法 1-1、1-5、1-11、 1-16∼1-19、2-4 への対策となる。 ・ ATM 周辺の監視 ¾ ATM が設置されている環境ではカメラや職員によって監視が行われて いる。こうした監視においては、利用者がセンサー周辺の環境を故意に 変化させようとしているか否かにも注意が払われていることから、方法 2-7 への対策となる11。 これらの対策を適切に講じることで、方法2-1∼2-3、2-5、2-6 を除くなりすま し方法に対応できると考えられる(図表3参照)。 残りのなりすまし方法(図表3において「済」と書かれていない白色のセル) に対しては、まず、各セルに対応する行為 1 および行為 2 の実行方法への対策 について技術の成熟度や利用者の不注意による影響等を分析することが考えら れる。そのうえで、網羅的に対策を講じるための対策の組合せを検討し、それ らのうちどの組合せが最も望ましいかについて、コストや利便性等の他の評価 項目も考慮しながらアプリケーションに応じて検討を行うことが考えられる。 こうした組合せの一例として、生体検知技術の利用、認証精度の向上、模倣 困難なモダリティの利用という 3 つの対策の組合せが挙げられる。生体検知技 術は、近年、人工物や分離された生体部位を用いたなりすましへの対策として 注目されており(宇根・田村[2005])、方法 2-1 と方法 2-2 への対策への対策と なりうる。認証精度の向上を図ることで、本人の生体特徴から派生していない 情報を基に入力情報を入手する方法1-12∼1-15、および、なりすまし対象者が生 体特徴をセンサーに提示する方法 2-5、2-6 への対策となりうる。さらに、模倣 困難なモダリティを利用すれば、方法2-3 への対策となりうる。ただし、生体検 知技術を利用する際は、検知の精度に応じて効果が異なるためアプリケーショ ンにおいて求められる精度を達成していることを確認する必要がある。同様に、 認証精度の向上を図る際にもアプリケーションの要件を満たすことを確認する 必要がある。 11 ATM 周辺の監視は、方法 2-1、2-2、2-5 への対策にもなりうると考えられる。しかし、読売 新聞[2009]によれば、対面で監視しているにも関わらず人工指に気付かなかったケースがある ほか、攻撃者がATM 周辺にいない場合、監視によって脅されているか否かを判断できない可能 性がある。そこで、監視がこれらへの対策として有効に機能しないケースを考慮し、方法 2-1、 2-2、2-5 について別の対策で対応することとした。
行為2 2-1 人工物 2-2 分離 2-3 変更・模倣 2-4 挿入・改ざん 2-5 脅し 2-6 提示 2-7 環境 1-1 当該システムか ら漏洩 済 済 済 済 済 済 済 1-2 センサー上の痕 跡 済 済 1-3 日 常 生 活 に おける痕跡 済 済 1-4 露出 済 済 1-5 ヒル・クライミング 攻撃 済 済 済 済 済 済 済 1-6 他システムから 漏洩 済 済 1-7 分離 済 済 1-8 偽端末 済 済 1-9 脅し 済 済 本 人 の 生 体 特 徴 か ら 派 生 し た 情 報 か ら の 入 力 情 報 の 入 手 1-10 結託 済 済 1-11 認証パラメータ の漏洩 済 済 1-12 本人以外の 生体特徴 済 済 1-13 血縁者 済 済 1-14 擬似生体特 徴 済 済 1-15 低品質 済 済 1-16 攻撃者の生 体特徴と類似 済 済 済 済 済 済 済 1-17 類似ペア 済 済 済 済 済 済 済 1-18 参照データ からウルフを探索 済 済 済 済 済 済 済 行 為 1 本 人 の 生 体 特 徴 か ら 派 生 し て い な い 情 報 か ら の 入 力 情 報 の 入 手 1-19 照合アルゴリ ズムからウルフを探索 済 済 済 済 済 済 済 (備考)灰色のセルは想定困難な組合せを、「済」は1 種類以上の対策を講じていることをそれ ぞれ示す。 図表3.暗号化、耐タンパー化、監視によって対応可能ななりすまし方法
4.生体検知技術の研究動向 3 節で紹介した対策のうち生体認証システムに固有の技術的対策には、テンプ レート保護技術、生体サンプルの品質の検査、ヒル・クライミング攻撃に耐性 のある照合アルゴリズムの利用、ウルフ攻撃に耐性のある照合アルゴリズムの 利用、生体検知技術、マルチ・モーダル認証の利用等が挙げられる。これらの 対策は、生体認証システムのセキュリティを確保していくうえでいずれも重要 な技術であると考えられる。本稿では、手始めに近年評価の観点から研究が進 展してきている生体検知技術に焦点を当てることとする。 (1) 生体検知技術の研究動向の概要 2000 年前後に、人工物や分離した生体部位が一部の市販の生体認証システム に受け入れられることが学会等で示され(例えば、Wills and Lee[1998]、van der Putte, and Keuning[2000]、Matsumoto et al.[2002])、現在では「人工物等の受 入れ」の脆弱性として広く認識されるようになっている。また、実際に運用さ れている生体認証システムに対して分離した生体部位や人工物を提示するとい った事例(Kent[2005]、読売新聞[2009])が発生している。 一方、1990 年代から特許を中心に人工物等を識別する手法が提案されはじめ (加藤ら[1996])、2000 年以降は学会でも発表されるようになってきている (Derakhshani et al.[2003])。当初の研究発表では、追加的なハードウエアの有 無や生体検知に利用する特徴が静的か動的かといった観点からの考察が多かっ た。その後、2005 年には、生体検知に用いるための情報(生体検知用サンプル と呼ぶ)の読取りに注目して、生体検知用サンプルの偽造の困難さのレベルを 定性的に分類する方法が提案されている(宇根・田村[2005])。最近では、被 験者や人工物等を用いた実験により、提案方式における生体検知の精度(検知 精度と呼ぶ)を定量的に評価している研究が増えてきている。検知精度の評価 指標には、人工物や分離された生体部位を誤って生体と判断する確率(FARFD)、 生体を誤って人工物等と判断する確率(FRRFD)、これらの確率が等しくなる時 の確率(EERFD)が用いられることが多い。 また、モダリティごとにみると、指紋(Derakhshani et al.[2003])、虹彩(Lee et al.[2006])、静脈パターン(中崎・田中・松本[2008]、松本・清水[2009])、 顔(Li et al.[2004])等について生体検知の研究が行われている12。 12 生体検知技術をモダリティごとにみると指紋に関する研究が最も盛んであり、例えば、生体 認証技術に関する主要な国際学会であるInternational Conference on Biometrics の第 1 回目(2006 年開催)と第2 回目(2007 年開催)において発表された生体検知技術に関する論文(ポスター セッションを含む)をみると、指紋に関するものが6 件、虹彩に関するものが 2 件となっている。
生体検知に用いられる人間の特徴には、例えば、電気特性(静電容量、イン ピーダンス、比誘電率等)、光学特性(光の反射・吸収・透過光等)、生理的特 性(脈拍、体温、発汗等)等が挙げられる13。その他の特徴を利用した手法も多 数提案されているが(中崎・田中・松本[2008]等)、どのような特徴が生体検 知を行ううえでより望ましいかは明らかになっていない。 そこで、本節では、生体検知技術の導入・利用を検討するうえで重要と考え られる評価項目として、セキュリティ、利便性、コスト、社会的受容性を取り 上げ(宇根・田村[2005])、あるべき姿と研究事例を基にした現状分析を行う。 (2) 生体検知の処理の概要 図表1に示した生体認証システムをベースに、生体検知の処理を概説する(図 表4参照)。 利用者 受理/拒否(1対1認証) 参照データ識別子/該当者なし(1対n認証) 登録時: 認証時: 生体特徴 参照データ識別子 参照データ 生成部 ID読取部 認証結果 生体 サンプル 参照データ 参照データ識別子 参照データ識別子 参照データ 生体検知用 サンプル センサー 判定部 生体 検知部 総合 判定部 生体検知用参照データ ストレージ 図表4.生体認証システムにおける生体検知の処理 生体認証システムに提示された物体が生体か否かを識別するために利用する 情報のうち、ストレージに登録しておくものを生体検知用参照データと呼ぶ。 全利用者が 1 つの生体検知用参照データを共有するケースでは、システム運用 者が何らかの方法によって生成した生体検知用参照データを予め登録しておく。 利用者ごとに生体検知用参照データを用意するケースでは、参照データを登録 する際に取得した生体検知用サンプルから生体検知用参照データを生成・登録 する。どちらのケースを採用するかは、個々の生体検知手法に依存する。 認証時の生体検知の処理では、まず、提示された物体から生体検知用サンプ ルを読み取り、これを生体検知部に送る。生体検知部では、生体検知用参照デ ータをストレージから読み出し、提示物が生体か否かを判断する。総合判定部 13 こうした特徴については、宇根・田村[2005]に詳しくまとめられている。
